[https://www.youtube.com/watch?v=nmzCFkmUZY4:embed:cite]
情報処理安全確保支援士試験の受験生のみなさん、そしてセキュリティ実務に携わるすべての方、こんにちは。今回は「突破せよ!午後問4の壁」と題して、令和5年度秋期試験の午後問4で取り上げられた「G百貨店・W社 リスクアセスメント編」について、その全貌を徹底的に解説していきます。この動画を見れば、単なる過去問の解説にとどまらず、実際の現場で役立つリスク分析の思考プロセス、いわゆる「T氏の思考プロセス」を身につけることができるでしょう。まず今回のケーススタディの舞台となるのは、G百貨店とその業務委託先であるW社です。出典の表紙にもある通り、サーバーや書類に埋もれて混乱している担当者と、冷静にリスクを見通すスーツ姿の専門家が描かれていますが、まさにこの冷静な視点こそが、私たちが目指すべき「名探偵」の姿なのです。 事件の現場となる環境を詳細に見ていきましょう。今回のクライアントはG百貨店ですが、トラブルの火種は委託先のW社にありました。W社の本社事務所には配送管理用PCがあり、ここからSサービスというクラウド上の配送管理システムにアクセスしています。ここで配送管理課員は、G百貨店が登録した顧客の氏名・住所・電話番号といった極めて重要な「Z情報」を参照し、在庫管理サーバで引き当てを行い、配送指示を入力するという業務フローが組まれています。しかし、ここで最大の問題となるのが「貸与アカウント」の存在です。なんと、W社の現場では、G百貨店から貸与されたたった一つのアカウントを、配送管理課員全員で使い回していたのです。資産として守るべきは「Z情報」ですが、脆弱性の予兆は、このSサービスへの共用IDにあることは明白です。しかも、W社の現場環境は朝9時から夜21時まで稼働しており、PC1台を交代で使用するという、セキュリティ事故が起きやすい状況が揃っていました。 さらに調査を進めると、W社の情報セキュリティ状況には表と裏があることが判明します。表向きには、全従業員に対して基本的な情報セキュリティ研修を行っており、IDやパスワードを含む秘密情報の取扱方法や、マルウェア検知時の対応、個人情報の取り扱い、メール送信時の注意点などを教育していることになっています。しかし、現場の実態は惨憺たるものでした。出典にある漫画のワンシーンをご覧ください。後輩社員が先輩に対し、パスワードが複雑すぎて覚えられないため、課長が「メモに書いて貼れ」と指示していることを指摘しています。実際、配送管理課長は課員に対して、パスワードはノートなどに書いてもよいが他人に見られないように管理せよと指示しつつも、あろうことかパスワードを書いた付箋がPCの机上に堂々と貼ってあったのです。これはリスク源がW社従業員そのものであり、IDとパスワードをメモ用紙などに書き写して持ち出す、あるいは付箋で晒すという行為が、明確なリスクとして特定された瞬間です。 では、このような脆弱な環境に対し、どのような攻撃シナリオが考えられるでしょうか。攻撃シナリオAとして想定されるのが「フィッシングメール」です。攻撃者はSサービスの偽サイトを作成し、そこに誘導するフィッシングメールを配送管理課員宛に送信します。ここで重要なのは、なぜ既存の対策をすり抜けたのかという点です。W社ではメールSaaSを利用しており、キーワード検知や添付ファイル検知は機能していました。もし攻撃メールが「添付ファイル」付きであればブロックできたはずです。しかし、今回の攻撃は「本文中のリンク(URL)」でした。表2の項番5にあるフィルタリング機能では、リンクまでは防げないという設定の穴を突かれたのです。その結果、配送管理課員がURLをクリックしてしまうとどうなるか。マルウェア感染の真の恐怖は、単にPCが破壊されることではありません。「認証情報」が盗まれることこそが最大の脅威なのです。Sサービスはクラウドですから、IDとパスワードさえあれば、W社の社内ネットワークにいなくても、外部から侵入できてしまいます。攻撃者は、不正に操作されたPCまたはサーバを踏み台にし、配送管理用PCにキーロガーを埋め込み、SサービスのIDとPCを窃取します。そしてその盗んだ情報を使って、W社外からSサービスにログインし、Z情報をW社外のPCなどに保存するという深刻な漏えい事故へと繋がっていくのです。 ここで一旦、冷静にリスク分析を行ってみましょう。パラメータとして「影響度」と「発生頻度」を考えます。まず影響度ですが、漏えいするのが個人情報である「Z情報」である以上、これは致命的であり、結果は「大」となります。次に発生頻度ですが、関連するセキュリティ状況をチェックすると、ウイルス対策やパッチ適用は行われていました。しかし、先ほど見たようにメールフィルタはリンクを防げません。さらに決定的なのがプロキシサーバの設定です。出典の図解にある通り、W社のPCはプロキシサーバを経由してインターネットに出ますが、このプロキシには「HTTPS復号機能」がありませんでした。これはつまり、暗号化された通信の中身はノーチェックで通過してしまうということを意味します。トンネルの中をマルウェアが隠れて通っていくようなものです。これに加え、人的対策としての教育やパスワード管理が形骸化している現状を踏まえると、発生頻度は「高」と判定せざるを得ません。 攻撃のバリエーションはこれだけではありません。攻撃シナリオBとして「ドライブバイダウンロード」や、さらに狡猾な手口も考えられます。例えば「踏み台攻撃(The Pivot Attack)」です。表1の項番4を確認すると、一括出力機能が「許可」されています。攻撃者は遠隔操作した配送PCを踏み台にして、SサービスのデータベースからZ情報をエクスポートし、それを持ち出すことが可能です。また、技術的なハッキングだけが攻撃ではありません。攻撃シナリオCとして「ソーシャルエンジニアリング」のリスクも忘れてはいけません。例えば、配送員を装った攻撃者が配送管理課員に電話をかけ、「伝票の住所が滲んで読めないので、お客様の連絡先を教えてもらえますか?」といった具合に、人の親切心や業務の慣れを悪用して情報を聞き出す手口です。これもまた、立派なセキュリティ攻撃なのです。 さて、ここからは「反撃の狼煙」、つまり対策の立案について解説します。名探偵T氏の思考プロセスに基づき、特定されたリスクに対して効果的な対策を打ち出していきましょう。まず、Sサービスへの不正ログインを防ぐための決定的な一手です。Sサービスはクラウドですが、どこからでもアクセスできる必要はありません。そこで、G百貨店側の設定で、Sサービスへログイン可能なIPアドレスを「W社プロキシだけ」に限定するのです。これにより、たとえIDとパスワードが盗まれたとしても、攻撃者のPC(Unknown IP)からのアクセスはブロックされ、城壁で守られた安全な通信経路のみが確保されます。 次に、人的な脆弱性への対策です。「付箋を貼るな」といくら精神論で説いても、人の意志に頼る対策には限界があります。そこでシステムによる強制力を働かせます。具体的には、Sサービスの認証を「多要素認証(MFA)」に変更することです。これにより、パスワードだけでは突破できない強固な認証基盤を構築します。さらに、操作ログを常時監視し、不審な操作を発見できる体制を整えることも重要です。出典のイラストにある天秤が示すように、精神論やトレーニングよりも、MFAやログ監視といった技術的対策の方が、セキュリティの重みとしては確実なのです。 そして、フィッシングサイトへのアクセスを防ぐためのネットワーク対策です。プロキシサーバのURLフィルタリング機能の設定を変更します。これまでの「怪しいサイトをブロックする」という考え方ではなく、「必要なサイトしか見せない」というホワイトリスト方式に切り替えるのです。具体的には、配送管理用PCからアクセスできるURLを業務に必要なものだけに限定することで、うっかりフィッシングメールのリンクをクリックしても、その先の偽サイトには接続できないようにします。 このように、今回の事例解決のプロセスを振り返ると、T氏のロジックフローが鮮明に見えてきます。まず第1段階として、Z情報や貸与アカウントといった「資産特定」を行いました。第2段階で、表2のセキュリティ状況を一行ずつチェックし、HTTPSが無視される点やMFAが使われていない点などの「現状分析」を行いました。第3段階では、ハッカーの視点に立ち、フィッシングリンクからキーロガー、そして外部ログインへと繋がる「攻撃シミュレーション」を実施しました。そして最後の第4段階で、外部ログインのリスクにはIP制限を、といった具合にリスクと解決策をマッピングする「対策立案」へと繋げたのです。 最終的な教訓として心に刻むべきは、問題文の中に全ての手がかりがあるということです。今回の運命の分かれ道は、プロキシの注釈にあった「HTTPS復号なし」という記述を見逃さないことでした。また、クラウド(SaaS)環境であればIP制限が極めて有効であるという環境ごとの最適解を知っていることも重要です。リスクアセスメントの方程式とは、資産価値と脅威、そして脆弱性を掛け合わせることにあります。みなさんもこの動画で学んだT氏の思考プロセスを武器に、ぜひ午後問4の壁を突破し、セキュリティのスペシャリストとしての道を切り拓いてください。最後に解答一覧を振り返りますが、リスク源の特定からフィッシングメールの手口、IPアドレス制限による対策、そして多要素認証やURLフィルタリングの導入まで、一連の流れがすべて論理的に繋がっていることがわかります。この論理的な繋がりこそが、情報処理安全確保支援士試験で求められる能力そのものなのです。今回の解説は以上です。G百貨店とW社の事例を通じて、リスクアセスメントの本質を理解していただけたでしょうか。現場のリアリティと試験の論理が見事に融合した良問でした。それでは、また次回の解説でお会いしましょう。
